欢迎来到天天文库
浏览记录
ID:18814294
大小:346.50 KB
页数:8页
时间:2018-09-25
《应用asdm简化防火墙管理》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、应用ASDM简化防火墙管理嵊州广播电视总台吕秋亮关键字:ASDM、Cisco防火墙管理随着广播电视技术数字化、网络化的不断深入,无论制播还是日常办公都离不开计算机网络,对网络的依赖必然对网络环境的安全性提出更高的要求。CiscoAsa5510是一款集应用安全、ANTI-X防御、网络印制和控制、VPN、智能网络服务于一体的功能强大的防火墙,具体的来说它能够:(1)过滤不安全的服务和非法用户,强化安全策略。(2)有效记录internet上的活动,管理进出网络的访问行为。(3)限制暴露用户,封堵禁止的访问行
2、为。(4)是一个安全策略的检查站,对网络攻击进行检测和告警。笔者所在单位不久前装了CiscoAsa5510防火墙,显著提升了网络安全性。熟练掌握思科自适应安全设备的管理操作对网络管理岗位的同志提出了新的要求。但借助ASDM软件,即便对思科产品不是很熟悉,我们也能直观的对防火墙设备进行有效管理,保障网络稳定高效运作。一、ASDM安装安装ASDM前我们需要安装jre-1_5_0-windows-i586这个java环境,然后运行ASDM-install.msi,ASDM版本比较多,笔者这边采用的是6.02
3、。使用ASDM管理ASA防火墙前我们首先要对防火墙进行一些配置: Asa5510#conft进入全局模式 Asa5510(config)#webvpn进入WEBVPN模式 Asa5510(config-webvpn)#usernameciscopasswordcisco新建一个用户和密码 asa5510(config)#intm0/0进入管理口 Asa5510(config-if)#ipaddress192.168.0.254255.255.255.0添加IP地址 Asa5510(conf
4、ig-if)#nameifmanage给管理口设个名字 Asa5510(config-if)#noshutdown激活接口 Asa5510(config)#q退出管理接口 Asa5510(config)#httpserverenable开启HTTP服务 Asa5510(config)#http192.168.0.0255.255.255.0manage在管理口设置可管理的IP地址 Asa5510(config)#showrun查看一下配置 Asa5510(config)#wrm保存配置完后
5、,我们就可以在192.168.0.0这个网段内的主机上运行ASDM对asa防火墙进行管理。(如图1)进入ASDM后,我们在软件首页可以监看到防火墙的各项设置参数以及网络状态。Deviceinformation一栏记录的是防火墙设备信息。Interfacestatus记录的是设备借口状态。VPNstatus记录了虚拟专用网络类型。流量状态(Trafficstatus)以及系统资源状态(Systemresoursesstatus)用图形界面统计出网络利用情况。(如图2)(图1)(图2)一、安全策略配置1、
6、限制内部网络主机连接外网权限:利用ASDM强大的安全策略功能我们能够摆脱繁琐的cisco路由交换命令,实现各种网络策略。(如图3)比如要限制部分主机上网权限,重复输入传统的acl命令是一件繁琐的事情,而在ASDM下将变得十分简单:(1)首先我们需要在创建模块(Buildingblocks)创建一个禁止上网的ip组,取名lost_connection,并把需要限制的ip地址添加进去(如图3);(2)在策略配置界面(securitypolicy)我们需要设置策略的访问规则(accessrules)。(如图
7、4)(图3)(图4)(3)在事件中选择deny(禁用),指定inside接口为源网络,group中选择我们创建的分组lost_connection,目的网络(destinationhost/network)我们选择内部接口inside。(4)在策略配置界面激活新创建的规则。(如图5)这样我们就限制了分组内的主机与防火墙通讯,从而实现了限制分组内主机连接外网的目标。值得注意的是在创建新策略时,后面应添加一条inside到inside全通信的策略。这个原因和访问控制列表(ACL)是一样,有顺序要求。如果有
8、两条语句,一个拒绝来自某个主机的通信,另一个允许来自该主机的通信,则排在前面的语句将被执行,而排在后面的语句将被忽略。由于安全性考虑,系统默认动作为拒绝(Implicitdeny),底层自动添加一条deny规则,拒绝所有通信。因此如果不手动添加一条inside到inside通信策略,第一条规则被执行后,将执行默认规则,导致内部网络主机都连接不到外网。采用类似访问策略,通过对外部网络固定服务器ip的限制,可以实现禁止对p2p站点、股票软件、聊天软件的服务器
此文档下载收益归作者所有